*Por: Giulio Franchi e Maria Beatriz Torquato
Temos ouvido com frequência as pessoas falarem sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), os vazamentos de dados e a importância de as empresas realizarem o processo de adequação à Lei.
Um dos aspectos envolvidos no processo de adequação à LGPD é a atenção voltada a questão da segurança da informação. A segurança inclusive é considerada como um princípio a ser seguido ao realizar o tratamento de dados pessoais. Conforme o artigo 6º, inciso XVII da LGPD, o referido princípio consiste na “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
Existem diversas medidas técnicas e administrativas que podem ser adotadas visando maior segurança[i]. Contudo, nem todas envolvem procedimentos muito complexos, sabia que há algumas que vocês já podem começar a colocar em prática logo após a leitura deste artigo?
Uma das medidas de fácil implementação e que já pode ser adotada imediatamente é a referente a manter documentos físicos que contenham dados pessoais dentro de gavetas ou armários que podem ser trancados, e não sobre as mesas. Essa é uma recomendação muito importante porque (i) a LGPD dispõe sobre o tratamento de dados não só nos meios digitais, como também no meio físico, ou seja, a lei também se aplica aos dados pessoais contidos nos papéis que muitas vezes são acumulados pelas empresas em variadas ocasiões[ii] e (ii) diminui o risco de ocorrerem vazamentos de dados, porque ao guardar os documentos, há uma redução na chance de acesso indevido por terceiros.
Em um contexto prático, imaginem a seguinte situação: você vai a um consultório médico e ao chegar ao guichê para fornecer seus dados cadastrais você observa que os prontuários e/ou exames de outros pacientes estão sobre a mesa do atendente. Ainda que involuntariamente, você consegue visualizar o nome de um dos pacientes e que ele tem uma doença contagiosa. Ter acesso a essa informação coloca em risco não só o paciente a que você teve acesso aos dados pessoais sensíveis como você mesmo, já que outra pessoa pode ser atendida depois e ter acesso aos seus dados que provavelmente estarão expostos na mesma bancada.
Além disso, outra medida simples e igualmente importante é a de não compartilhar logins e senhas de acesso das estações de trabalho. Você, enquanto funcionário ou empresário, deve estar ciente da seriedade do impacto que o compartilhamento das senhas nas estações de trabalho pode causar. A utilização de senhas é uma das formas de controlar o acesso a determinados dados, para que eles só sejam utilizados por quem é autorizado e, com isso, fortalecer a segurança e evitar potenciais vazamentos de dados.
Ainda com relação ao tópico mencionado acima, outra providência fundamental a ser adotada é a de bloquear os computadores quando se afastar das estações de trabalho para evitar o acesso indevido de terceiros. Quanto a essa questão, um exemplo corriqueiro e que poderia ser evitado é o caso em que no ambiente de trabalho o funcionário esquece o computador ligado com abas contendo documentos pessoais dele ou até mesmo de algum cliente e um outro funcionário tem acesso aquela informação por simplesmente passar por perto do local e ver os dados expostos. Se o computador já fosse previamente programado para ser bloqueado quando houvesse um afastamento das estações de trabalho, uma situação como a relatada poderia ser evitada.
Associado a todas as medidas destacadas é imprescindível destacar um fator muito importante: o fator humano. Segundo pesquisas recentes[iii], o fator humano foi a causa mais comum de violações de dados nas empresas. Na prática isso pode acontecer de várias maneiras, uma delas é quando, por exemplo, um funcionário abre um e-mail phishing, técnica que vem se tornado a cada dia mais comum como uma engenharia social para obter dados confidenciais.
Para identificar questões como essa e colocar em prática todas as medidas de segurança da informação e outras discutidas em um projeto de adequação à LGPD, é fundamental ter o auxílio de profissionais altamente qualificados na área para promover ações de conscientização e treinamentos direcionados a equipe, e é claro, funcionários dispostos a aprender e a colocar em prática os ensinamentos. Incorporar medidas relacionadas à segurança da informação é uma atitude que vai evitar muitas dores de cabeça a qualquer dos envolvidos na relação comercial, seja o empresário, o funcionário ou o cliente e ainda estão inseridas como parte do processo de adequação à LGPD.
[i] ANPD. Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte Outubro/2021. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf> Acesso em 05. jul. 2022.
[ii] LGPD. Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em: 05 jul. 2022.
[iii] Insider Data Breach Survey, 2021. Disponível em: <https://www.egress.com/media/4kqhlafh/egress-insider-data-breach-survey-2021.pdf> Acesso em 05. Jul. 2022.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).